情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は7月20日,脆弱性情報の取り扱いに関する説明会を開催した。7月8日に施行された「ソフトウエア等脆弱性関連情報取扱基準」において,「IPAはどのように脆弱性情報を受け付けるのか」「JPCERT/CCはどのように調整するのか」「製品開発ベンダーはどのように対応すればよいのか」――などを説明するためである(関連記事)。
説明会の内容は,7月8日に公開された「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいている。脆弱性情報の受付機関に指定されているIPAは,脆弱性情報を流通させる体制における,IPAの位置付けや情報の届け出方法などについて説明した。例えば,脆弱性情報の発見者が違法な手段によってその情報を入手した場合には,IPAが受け付けない場合があることや,受け付けたからといって,発見者の法的責任が免責されるわけでないことなどが説明された。
IPAによると,現時点(7月20日現在)での届け出件数は10件。現在ではPGPを使った暗号化メールでの届け出のみを受け付けているが,近いうちに,SSLを使ったWebフォームでの届け出窓口を用意するという。また,届け出に関する質問用のメール・アドレスを用意しているので,不明な点があったら,遠慮なく問い合わせて欲しいと訴えた。
JPCERT/CCや電子情報技術産業協会(JEITA)は,製品開発ベンダーの対応について説明した。例えば,JPCERT/CCから情報を受けるには,事前に「JPCERT/CC製品開発者リスト」に登録する必要があること,各ベンダーの対応状況は,ポータル・サイト「JP Vendor Status Notes」に掲載されることなどが説明された。
また,製品開発ベンダーは,脆弱性情報を取り扱うための社内体制を整備する必要があることが強調された。具体的には,JPCERT/CCとの窓口になり,社内の調査を指示する「ベンダーCSIRT(Computer Security Incident Response Team)」の必要性などが述べられた。
今回は東京での開催だったが,同様の説明会は福岡,東京,名古屋でも,それぞれ7月26日,27日,28日に開催される。これらへの参加申し込みは7月22日まで。説明会に参加できない関係者は,「情報セキュリティ早期警戒パートナーシップガイドライン」に目を通しておきたい。
◎参考資料
◆情報セキュリティ早期警戒パートナーシップガイドラインについて(IPA)
◆脆弱性関連情報取り扱い説明会の開催について(IPA)
◆脆弱性関連情報取り扱い説明会(JPCERT/CC)
◆脆弱性関連情報に関する届出について(IPA)
(勝村 幸博=IT Pro)
